Blog: Datenschutzverstöße: Deutschland folgt den Niederlanden

Blog: Datenschutzverstöße: Deutschland folgt den Niederlanden

Ein Blog von Mareike Gehrmann

Seit dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten der Europäischen Union. Doch noch immer birgt die Umsetzung der gesetzlichen Anforderungen Schwierigkeiten. Nach einer Befragung des Digitalverbandes bitkom unter mehr als 500 deutschen Unternehmen hatten im September 2019 erst 25 Prozent der befragten Unternehmen die DSGVO vollständig umgesetzt. 45 Prozent der befragten Unternehmen hatten die DSGVO zu großen Anteilen und 24 Prozent nur in Teilen umgesetzt. Die restlichen sechs Prozent der befragten Unternehmen standen noch am Anfang. Das Thema „Bußgeldrisiko“ ist deshalb aller Munde.

Nachdem die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) bereits als erste Aufsichtsbehörde in Europa eine Bußgeld-Richtlinie für die Sanktionierung von Verstößen gegen die DSGVO veröffentlicht hatte, folgten am 16. Oktober 2019 nun auch die deutschen Datenschutzbehörden diesem Beispiel und veröffentlichten ihr Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen. Ziel dieses Konzepts ist es, eine einheitliche Grundlage für die Messung von Bußgeldern in Deutschland zu schaffen. Doch gerade für größere Unternehmen und Konzerne kann dieses Konzept jedoch schnell zu hohen Bußgeldern führen. Denn Grundlage für die Berechnung ist zuerst der Umsatz.

Deutschland – Berechnung des Bußgeldes in fünf Schritten

Die Höhe des Bußgeldes wird in fünf Schritten bestimmt:

  1. Umsatzbezogene Unterteilung der Unternehmen in Größenklassen / Untergruppen

Das betroffene Unternehmen wird zunächst einer von vier Größenklassen (A bis D) zugeordnet. Die Einordnung erfolgt danach, wie viel das Unternehmen oder die Unternehmensgruppe weltweit im Vorjahr an Umsatz erzielt hat. Die Größenklassen richten sich hierbei nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen und sind unterteilt in Kleinstunternehmen (A), kleine Unternehmen (B), mittlere Unternehmen (C) sowie Großunternehmen (D).

Ein Unternehmen mit bis zu 2 Millionen Euro Jahresumsatz wird als Kleinstunternehmen (A), ein Unternehmen mit über 2 bis 10 Millionen Euro Jahresumsatz als kleines Unternehmen (B), ein Unternehmen mit über 10 bis 50 Millionen Euro Jahresumsatz als mittleres Unternehmen (C) und ein Unternehmen mit über 50 Millionen Euro Jahresumsatz als Großunternehmen (D) eingestuft. Anschließend wurden die Größenklassen A bis D dann noch einmal von den deutschen Datenschutzbehörden in Untergruppen unterteilt (Einstufung A.I. bis D.VII., siehe Link).

  1. Bestimmung eines mittleren Jahresumsatzes

Anschließend haben die deutschen Datenschutzbehörden sog. mittlere Jahresumsätze pro Untergruppe bestimmt, auf deren Basis die weitere Berechnung erfolgen soll. In der Untergruppe A.I. liegt der mittlere Jahresumsatz beispielsweise bei 350.000,00 Euro, in Untergruppe D.VI. bei 450 Millionen Euro.

  1. Berechnung des Tagessatzes

Auf Basis dieser mittleren Jahressätze berechnen die deutschen Datenschutzbehörden den jeweiligen Tagessatz, der den Ausgangswert für die Bußgeldberechnung bildet. Hierfür wird der mittlere Jahresumsatz durch 360 (Tage) geteilt. Bei der Untergruppe A.I. lautet der Tagessatz 972 Euro, bei der Untergruppe D.VI. kann dieser bereits 1,25 Millionen Euro betragen.

  1. Ermittlung des Faktors und Multiplikation mit Tagessatz

Um festzustellen, mit welchem Faktor dieser Tagessatz zu multiplizieren ist. Dieser Faktor ermittelt sich anhand der Schwere des Verstoßes.

Gemessen am Einzelfall muss eingeschätzt werden, ob der Verstoß weniger bedeutend, durchschnittlich, schwerwiegend oder sehr schwerwiegend war. Kriterien für die Beurteilung sind zum Beispiel die Dauer des Verstoßes, die Art und Weise, wie der Verstoß begangen worden ist, die Anzahl der betroffenen Opfer und der Umfang des Schadens, den die Opfer dadurch erfahren haben, dass das betroffene Unternehmen sich nicht an die Vorschriften der DSGVO gehalten hat. Außerdem wird berücksichtigt, welches Ausmaß der Verstoß gegen die DSGVO hatte und warum das betroffene Unternehmen die Vorschriften nicht eingehalten hat.

Je nachdem, wie schwer der Verstoß war und gegen welche Vorschrift der DSGVO verstoßen worden ist, wird dem betroffenen Unternehmen ein Faktor von 1 bis 14,4 zugewiesen, wobei 12 oder höher am schwerwiegendsten bedeutet.

Der in diesem Schritt gewonnene Faktor (1 bis 14,4) wird dann mit dem Tagessatz multipliziert, also zum Beispiel ein Tagessatz von 972 Euro bei einem Kleinstunternehmen mit dem Faktor 7 ergibt ein Bußgeld von 6.804,00 Euro.

  1. Bei Bedarf: Weitere Anpassung nach oben oder unten

Möglicherweise scheint der berechnete Faktor jedoch mit Blick auf den Täter oder andere Umstände, die in der Berechnung nicht berücksichtigt worden sind, nicht angemessen. In diesen Fällen soll die Bußgeldhöhe angepasst werden können. Handelt es sich bei dem betroffenen Unternehmen beispielsweise um einen wiederholten Verstoß, kann das Bußgeld auf bis zu 300 Prozent erhöht werden.

Kritik am deutschen Bußgeldkonzept

Das deutsche Bußgeldkonzept steht bei vielen Datenschutzrechtlern bereits arg in der Kritik. Zwar wurde positiv aufgenommen, dass das Bußgeldkonzept nur für Unternehmen und nicht gegen Vereine oder Privatpersonen angewendet werden soll. Auch ist die nunmehr geschaffene Transparenz zur Berechnungsmethodik zu begrüßen.

Ein Kritikpunkt ist aber, dass das Bußgeldkonzept weder für Gerichte noch für andere Datenschutzaufsichtsbehörden in der Europäischen Union bindend ist. Bei grenzübergreifenden Sachverhalten besteht somit weiterhin erhebliche Rechtsunsicherheit. Auch darüber hinaus bietet das Bußgeldkonzept keine Sicherheit, denn die deutschen Datenschutzbehörden haben sich ausbedungen, „jederzeit eine Aufhebung, Änderung oder Erweiterung ihres Konzepts mit Wirkung für die Zukunft beschließen“ können.

Letztendlich wird aber befürchtet, dass die zu verhängenden Bußgelder deutlich steigen werden, wie

zum Beispiel im Fall der Wohnungsgesellschaft Deutsche Wohnen in Berlin, gegen die ein Bußgeld von 14,5 Millionen Euro verhangen wurde. Anfang Dezember 2019 wurde auch der Mobilfunk- und Festnetzkonzern 1&1 Drillisch mit einer Geldbuße von rund 9,6 Millionen Euro zur Kasse gebeten.

Kritiker stellen die Frage, ob die zu erwartenden Bußgelder noch angemessen und verhältnismäßig sind, wie es Art. 83 Abs. 1 DSGVO vorsieht. Denn das Konzept orientiert sich in erster Linie nur am Umsatz der Unternehmen. Tat- und schuldangemessene Faktoren, deren Einbeziehung für die Verhältnismäßigkeit essentiell sind, werden, vielmehr nur zur Korrektur herangezogen. Gegen Konzerne können damit auch bei minimalen Verstößen mitunter hohe Bußgelder verhangen werden, weil bereits der für sie errechnete Tagessatz unverhältnismäßig hoch ist. Unklar ist auch, wie mit Unternehmen umgegangen wird, die gar keinen Vorjahresumsatz aufweisen oder rote Zahlen schreiben. Mit diesen Fragen werden sich wohl die Gerichte auseinandersetzen müssen. Allen Unternehmen ist deshalb noch mehr als zuvor anzuraten, eventuelle „Lücken“ in der Umsetzung der DSGVO möglichst schnell und umfassend zu schließen.

Blick in die Niederlande

Etwas anders löste die niederländische Datenschutzbehörde das Thema. Ihre Bußgeld-Richtlinie beinhaltet ein 4-Kategorien-System, in dem Beispiele für Verstöße gegen bestimmte Vorschriften der DSGVO je nach Unternehmensgröße und Maximalhöhe der möglichen Geldbuße aufgeführt werden. In den fünf Anlagen der Bußgeld-Richtlinie finden sich noch detaillierte Auflistungen zur Gewichtung einzelner Datenschutzverstöße. So wird beispielsweise ein Verstoß gegen die Informationspflichten als Verstoß der Kategorie III angesehen und kann mit einem Bußgeld von 300.000 bis 750.000 Euro geahndet werden. Darüber hinaus bestimmen weitere Faktoren, wie z.B. die Art und Schwere der Verletzung, die letztendliche Bußgeldhöhe. Der Umsatz des Unternehmens ist mithin nicht im Hauptfokus der Berechnungsgrundlage.

 

Über die Autorin

Mareike Gehrmann ist Salary Partnerin bei Taylor Wessing. Als Fachanwältin für IT-Recht leitet sie Mandanten durch den Wandel der Digitalisierung. Sie verfügt über eine ausgewiesene Expertise im IT-Vertrags- und Datenschutzrecht und berät vor allem zu KI, Datenschutz und Cyber Security. Hierbei arbeitet sie grenzüberschreitend mit dem niederländischen Team von Taylor Wessing zusammen und betreut niederländische Unternehmen vor allem beim Eintritt in den deutschen Markt.

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
X